วันอาทิตย์ที่ 30 กรกฎาคม พ.ศ. 2566

Microsoft Entra Conditional Access (Azure AD Conditional Access)

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมอยากจะนำะเสนอความสามารถหรือฟีเจอร์หนึ่งของ Microsoft Entra ID หรือชื่อเดิมคือ Azure Active Directory (Azure AD) ให้ทุกท่านได้รู้จักกันครับ โดยฟีเจอร์ดังกล่าวนี้มีชื่อว่า "Azure AD Conditional Access" ชื่อใหม่คือ "Microsoft Entra Conditional Access" ในบทความนี้ผมขอเรียกสั้นๆ ว่า "Conditional Access" นะครับ สำหรับ Conditional Access อยู่ใน Microsoft Entra ID (Azure AD) นานแล้วครับ โดยจะอยู่ใน Azure AD Premium P1 หรือชื่อใหม่ Microsoft Entra ID P1 (Edition หนึ่งของ Azure AD หรือ Microsoft Entra ID) หรืออยู่ใน Microsoft 365 SKUs ต่างๆ เช่น EMS E3, Business Premium, เป็นต้นครับ รายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ได้เลยครับ, แผนและราคาของ Microsoft Entra | Microsoft Security












และต้องบอกว่า Conditional Access จัดว่าเป็นฟีเจอร์ที่เกี่ยวข้องกับ Security ที่มีประโยชน์อย่างมากสำหรับองค์กรที่กำลังวางแผนเพื่อดำเนินการเรื่องของ Security โดยเฉพาะที่เกี่ยวข้องกับ Identity ครับ


Microsoft Entra Conditional Access (Azure AD Conditional Access) คืออะไร?

อย่างที่เกริ่นไว้ข้างต้นว่า Conditional Access เป็นฟีเจอร์หรือความสามารถหนึ่งของ Microsoft Entra ID และยังเป็นส่วนหรือ Engine ที่สำคัญของ Zero Trust Model อีกด้วยครับ เพราะ Conditional Access จะทำนำเอา Signals จาก Sources ต่างๆ มาเพื่อทำการตัดสินใจในการ Enforce Policy (Conditional Access Policy) ดังรูปด้านล่าง









สำหรับคอนเซปการทำงานของ Conditional Access จะเริ่มหลังจากผ่าน Authentication แรกไปเรียบร้อย (Authentication แรก คือ การที่ผู้ใช้งานใส่ Username และ Password) จากนั้น Conditional Access จะเริ่มทำงานโดยการตรวจสอบและประเมินว่าผู้ใช้งานคนดังกล่าวจะถูก Granted หรือ Denied Access ตาม Conditional Access Policy ที่กำหนด ในการใช้งานจริง เราจะต้องมีการวางแผนก่อนที่จะใช้งาน Conditional Access นะครับ สำหรับ Conditional Access Policy เป็นสิ่งที่เราจะต้องกำหนดเพื่อ Enforce ใช้งาน 

โดยการคอนเซปของ Conditional Access Policy ไม่มีอะไรซับซ้อนครับ ตรงไปตรงมา โดยคอนเซปจะอยู่ในรูปแบบของ If-Then Statements ยกตัวอย่างเช่น ถ้าเราต้องการให้ผู้ใช้งานในองค์กรเข้าถึงหรือ Access Resources ต่างๆ ผู้ใช้งานเหล่านั้นจะต้องทำดำเนินการผ่าน Actions ที่กำหนด เช่น ถ้าผมต้องการให้ทุกท่านเข้าถึงหรือ Access Resources (Apps) ทุกท่านจะต้องทำ MFA (Multi-Factor Authentication) ดังนั้นการที่เราหรือองค์กรพิจารณานำเอา Conditional Access เข้ามาใช้งานนั้น จะส่งผลทำให้เกิดความปลอดภัยมากขึ้นครับ

Signals จาก Sources ต่างๆ ที่ผมได้เกริ่นไว้ตอนต้น สามารถดูจากรูปด้านล่าง โดย Conditional Access จะรวบรวม Signals ต่างๆ มาเพื่อประเมินและตัดสินใจในการ Enforce Policy 












ตัวอย่างของ Signals เช่น

Users Or Groups Memberships, ใน Conditional Access Policy สามารถกำหนดหรือระบุ Users หรือ Groups เพื่อให้ครอบคลุมเฉพาะที่ต้องการ

IP Location Information, สามารถสร้าง Trusted IP Address Ranges เพื่อใช้ในการตัดสินใจในการใช้ Policy อีกทั้งยังสามารกำหนด Countries/Regions IP Ranges เพื่อทำการ Block หรือ Allow Traffic From

และยังมีบาง Signals ที่เกิดจากการ Integrate ทำงานร่วมกับฟีเจอร์ที่ชื่อว่า "Azure AD Identity Protection" (คาดว่าจะต้องเปลี่ยนขื่อเหมือนกันครับ) ของ Microsoft Entra ID (Azure AD) ครับ โดย Azure AD Identity Protection จะทำการ Detect 2 สิ่ง คือ Sign-In Risk และ User Risk ยกตัวอย่างเช่น Attackers ใช้เทคนิค Password Spray Attack, รวมถึงการที่ Attackers ทำการ Sign-In มาจาก New Countries, Anonymous IP Address, และอื่นๆ สิ่งเหล่านี้จะถูกตรวจสอบและ Azure AD Identity Protection จะ Detect เจอครับ และเมื่อมีการทำงานร่วมกัน เมื่อเจอเหตุการณ์ที่ผิดปรกติที่น่าสงสัยซึ่งมีความเสี่ยงกับ Identity ดังรูปด้านล่างครับ











รายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ได้เลยครับ, What is Conditional Access in Azure Active Directory? - Microsoft Entra | Microsoft Learn













และใน Conditional Access จะมี Templates ต่างๆ เอาไว้ให้เราสามารถนำไปพิจารณาเพื่อนำมาประยุกต์ใช้งานในองค์กรได้ครับ รายละเอียดเพิ่มเติมตาม Link นี้ครับ, Secure your resources with Conditional Access policy templates - Microsoft Entra | Microsoft Learn













และทั้งหมดนี้คือเรื่องราวเริ่มต้น ของ Microsoft Entra Conditional Access หรือ Azure AD Conditional Access ครับผม.....



ไม่มีความคิดเห็น:

แสดงความคิดเห็น